ファイル管理にディレクトリトラバーサル

日付: 2023年4月25日
CVE ID: CVE-2023-29200

バックエンドで認証済みのユーザーはファイル管理のドキュメントルート外のファイルを一覧できます。しかし、これらのファイルの内容を読むことはできません。

この脆弱性の報告していただいたDaniel Barros氏に感謝します。

影響のあるバージョン

  • Contao 4.0
  • Contao 4.1
  • Contao 4.2
  • Contao 4.3
  • Contao 4.4
  • Contao 4.5
  • Contao 4.6
  • Contao 4.7
  • Contao 4.8
  • Contao 4.9からContao 4.9.39まで
  • Contao 4.10
  • Contao 4.11
  • Contao 4.12
  • Contao 4.13から4.13.20まで
  • Contao 5.0
  • Contao 5.1から5.1.3まで

推奨する解決方法

Contao 4.9.40、4.3.21、5.1.4に更新してください。

さらに詳しい情報

https://github.com/contao/contao/security/advisories/GHSA-fp7q-xhhw-6rj3

Directory traversal in the file managerの翻訳です。

戻る